Brauzer Barmaq İzi və Razılıq: Tənzimləyicilərin Nəzarət Etdiyi İzləmə Texnikasına Nəşrçi Bələdçisi
Cookie dövrünün onlayn izləmə müzakirələrinin çox hissəsində əhəmiyyətli olan texniki səthi saxlama qatı idi: brauzer cookie-ləri, localStorage qeydləri, IndexedDB verilənlər bazaları — bir tərtibatçının görə biləcəyi və bir tənzimləyicinin işarə edə biləcəyi şeylər. Barmaq izi fərqli işləyir. O, brauzerdən heç bir şeyi saxlamasını xahiş etmir. Bunun əvəzinə, o brauzerdən suallar soruşur — hansı şriftlər quraşdırılıb, bu canvas renderingi necə görünür, audio kontekst bu siqnalı necə emal edir — və cavabları sessiyalar, cihazlar və hətta özəl gözatma pəncərələri boyunca davam edən bir identifikator halında birləşdirir. Nəşrçilər və reklam texnologiyası satıcıları üçün barmaq izi, üçüncü tərəf cookie-lərinin ləğv edilməsinin ətrafından dolaşmaq üçün cazibədar bir yol olub. Tənzimləyicilər üçün isə bu, son 24 ay ərzində ən aqressiv şəkildə araşdırılan izləmə texnikalarından birinə çevrilib, çünki dizayn etibarilə istifadəçiləri onların əməkdaşlığı olmadan müəyyən edir. CNIL, EDPB, UK ICO və İtalyan Garante son 24 ay ərzində barmaq izini xüsusi olaraq hədəf alan icra qərarları və ya rəhbər sənədlər dərc edib. Bu bələdçi barmaq izinin əslində nə olduğunu, qanun çərçivəsində nəyin barmaq izi sayıldığını və bir nəşrçinin onu razılıq idarəetmə çərçivəsində necə idarə etməli olduğunu açıqlayır.
Brauzer Barmaq İzi Nədir
Brauzer barmaq izi, brauzerin çalışan hər hansı JavaScript-ə açdığı xüsusiyyətlərdən qurulmuş yüksək entropiyalı identifikatordur. Əsas texnikalar bir neçə ailiyə bölünür, hər biri birləşmiş barmaq izinin entropiyasına töhfə verir.
Canvas barmaq izi
HTML5 canvas elementi qrafikləri əsas GPU, sürücü, əməliyyat sistemi və şrift alt sisteminə görə bir qədər fərqli şəkildə render edir. Müəyyən bir şrift ilə sabit bir sətir çəkmək, sonra yaranan piksel məlumatlarını hash etmək, cihazlar arasında fərqli, lakin eyni cihazda sessiyalar arasında sabit olan bir identifikator yaradır. Canvas barmaq izi kanonik nümunədir və icra tədbirlərində ən çox istinad edilən texnikadır.
Audio barmaq izi
AudioContext API audio siqnallarını qrafika kimi eyni tip aparat-proqram boru xətti vasitəsilə emal edir və yaranan çıxış entropiya yaradan bir şəkildə fərqlənir. Məlum bir ossilyatoru bir kompressor vasitəsilə işlətmək və nəticəni hash etmək sabit cihaz başına identifikator yaradır.
Şrift sayımı
Müxtəlif əməliyyat sistemlərinin və istifadəçi profillərin müxtəlif quraşdırılmış şrift dəstləri var. Şriftlərin varlığını və ya yoxluğunu araşdırmaq — namizəd şriftlər siyahısı üçün mətn metriklərini ölçməklə — şrift dəstini fərdiləşdirmiş istifadəçilər üçün xüsusilə fərqləndirici bir identifikator yaradır.
WebGL barmaq izi
WebGL GPU imkanlarını və render davranışını açıq edir. Satıcı sətri, render sətri və sabit bir səhnənin renderinin kombinasiyası başqa bir yüksək entropiyalı identifikator yaradır.
Şəbəkə və cihaz metadata
Aktiv araşdırma texnikalarından əlavə, barmaq izləri adətən passiv metadatanı birləşdirir: User-Agent sətri, dil üstünlükləri, saat qurşağı, ekran həlli, rəng dərinliyi, mövcud yaddaş, mövcud prosessorlar, batareya vəziyyəti və bağlantı qatındakı TLS barmaq izi. Hər element öz başına entropiya əlavə edir və digərləri ilə çarpaz şəkildə birləşir.
Tənzimləyicilər Barmaq İzini Necə Dəyərləndirir
Hüquqi təhlil ümumi hatlarla sadədir, lakin praktikada daha çətindir. Bir istifadəçini müəyyən edən barmaq izi, GDPR-ın tərifi çərçivəsində şəxsi məlumat yaradır və artıq cihazda saxlanmış məlumatları oxumaq və ya bu məlumatlara daxil olmaq, ePrivacy Direktivi-nin Maddə 5(3)-ü çərçivəsinə daxil olur — cookie-ləri idarə edən eyni müddəa. Həm Maddə 5(3), həm də GDPR qeyri-zəruri izləmə üçün əvvəlcədən razılıq tələb edir. Qanunun cookie-lərdən kənara getdiyi yer, ePrivacy 5(3)-ün "abunəçinin və ya istifadəçinin terminal avadanlığında artıq saxlanmış məlumatların saxlanması, yaxud həmin məlumatlara daxil olunması" — barmaq izinin əsaslandığı cihaz vəziyyəti araşdırmasını əhatə edəcək qədər geniş bir dili əhatə etməsidir.
EDPB bu şərhi cookie olmayan izləməyə Maddə 5(3)-ün tətbiqi ilə bağlı 2023 rəhbər sənədlərində təsdiqlədi və CNIL ən aqressiv icraçı olub: 2024-cü ildəki bir sıra cərimələr, razılıqdan əvvəl işləyən barmaq izi kitabxanalarını əsas pozuntu kimi qeyd etdi. UK ICO-nun 2024 izləmə bəyannaməsi, canvas, audio və oxşar barmaq izlərini cookie-lərlə bərabər opt-in razılığı tələb edən kimi çərçivələyir.
Boz Zona: Saxtakarlığın Qarşısının Alınması və İzləmə
Ən mübahisəli barmaq izi istifadə halı saxtakarlığın qarşısının alınmasıdır. Bot aşkarlanması, hesabın ələ keçirilməsinə qarşı müdafiə və ödəniş saxtakarlığı yoxlanması hamısı əsas siqnal kimi cihaz barmaq izinə əsaslanır. Tənzimləyicilər bu emalın bir hissəsinin razılıq əvəzinə qanuni maraq əsasında əsaslandırıla biləcəyini qəbul edib — lakin bar yüksəkdir və əhatə dairəsi dardır. Digər DPA-ların əks-səda verdiyi CNIL mövqeyi belədir:
- Birinci tərəf xüsusiyyətlərindəki ciddi zəruri saxtakarlığın qarşısının alınması qanuni maraq əsasında davam edə bilər, qanuni maraq qiymətləndirməsində (LIA) müvafiq sənədləşmə ilə.
- Eyni barmaq izinin davranışsal və ya reklam istifadəsi razılıq tələb edir və saxtakarlığın qarşısının alınması əsasına dayana bilməz.
- Hər hansı məqsədlə barmaq izini üçüncü tərəflərlə paylaşmaq adətən qanuni maraq əhatəsindən kənarda qalır və razılıq tələb edir.
- Dərhal saxtakarlıq yoxlamasından sonra barmaq izinin daimi saxlanması ümumiyyətlə ya razılıq, ya da çox diqqətlə yazılmış qanuni maraq mövqeyi tələb edir.
Praktik nəticə budur ki, həm saxtakarlığın qarşısını alan barmaq izi, həm də reklam texnologiyası barmaq izini işlədən nəşrçi hər ikisini əhatə etmək üçün saxtakarlıq əsasına arxalana bilməz. İki axın memarlıq cəhətdən ayrı olmalıdır, reklam texnologiyası axını razılığın arxasına alınmalı, saxtakarlığın qarşısının alınması axını isə sənədləşdirilmiş məqsədinə məhdudlaşdırılmalıdır.
CMP-də Barmaq İzini Necə İdarə Etmək
Barmaq izi üçün inteqrasiya nümunəsi digər izləmə texnikalarına bənzəyir, lakin əlavə diqqət tələb edir, çünki aşkar saxlamanın yoxluğu razılıq sərhədini qaçırmağı asanlaşdırır.
1. Barmaq izi səthinizi inventarlaşdırın
Canvas toDataURL() çağıran, AudioContext-əsaslı emal edən, mətn metrik ölçümü vasitəsilə şrift araşdırması aparan və ya WebGL render sorğuları edən hər hansı skript üçün saytı yoxlayın. Bu çağırışlar çox vaxt üçüncü tərəf kitabxanalarında — reklam texnologiyası SDK-ları, saxtakarlığa qarşı satıcılar, A/B test alətləri — gizlidir və dərhal görünmür.
2. Hər barmaq izi istifadəsini kateqoriyalaşdırın
Barmaq izi alan hər kitabxana üçün onun (a) saytın işləməsi üçün ciddi zəruri, (b) qanuni maraq əsasında saxtakarlığın qarşısını alan tedbir, yoxsa (c) izləmə, analitika və ya reklam üçün olduğunu sənədləşdirin. (a) və (b) kateqoriyaları sənədləşdirilmiş əsaslar çərçivəsində açıq razılıq olmadan davam edə bilər; (c) kateqoriyası opt-in tələb edir.
3. İzləmə məqsədli barmaq izini geyting edin
(c) kateqoriyasına düşən kitabxanalar üçün CMP onlara marketinq cookie-ləri ilə eyni şəkildə yanaşmalıdır: skript DOM-da mövcuddur, lakin ziyarətçi marketinq kateqoriyasını qəbul edənə qədər passivdir. Müasir CMP-lərin əksəriyyəti artıq bunu standart type="text/plain" + kateqoriya-atributu nümunəsi vasitəsilə dəstəkləyir.
4. Saxtakarlığın qarşısını alan barmaq izi üçün qanuni maraq əsasını sənədləşdirin
Barmaq izi qanuni maraq əsasında davam etdiyi hallarda, LIA spesifik, cari olmalı və faktiki emal əhatəsini əks etdirməlidir. Ümumi "saxtakarlığın qarşısının alınması" kifayət deyil — LIA hansı məlumatların emal edildiyi, nə qədər saxlandığı, hansı mühafizələrin tətbiq olunduğu və istifadəçinin real gözləntilərinin nə olduğunu müəyyən etməlidir.
5. Qanuni maraq axınları üçün mənalı opt-out təmin edin
Saxtakarlığın qarşısını alan barmaq izi razılıq olmadan davam etdiyi hallarda belə, GDPR-ın Maddə 21-i istifadəçiyə qanuni maraq emalına etiraz etmək hüququ verir. CMP bu hüququ açıqlamalı, texniki tətbiqat isə hüquq həyata keçirildikdə barmaq izini faktiki olaraq dayandırmalıdır — etirazı qeydə alan, lakin barmaq izi almağa davam etmir.
Audit Yoxlama Siyahısı
Potensial barmaq izi səthlərini açan hər hansı sayt üçün cavablanması lazım olan altı konkret sual.
1. İnventarın tamlığı
Təhlükəsizlik komandası canvas, audio, şrift, WebGL və ya cihaz-metadata araşdırması həyata keçirən hər kitabxananın cari siyahısını hazırlayıbmı? Əgər cavab "əmin deyilik" olarsa, audit davam edə bilməz.
2. Əsas təsnifatı
Hər kitabxana üçün sənədləşdirilmiş qanuni əsas varmı (razılıq, LIA ilə qanuni maraq, müqavilə zərurəti)? Sənədləşdirilməmiş əsaslar hesabatlılıq çərçivəsində faktiki olaraq yoxdur.
3. Razılıq gating
İzləmə məqsədli barmaq izi kitabxanaları marketinq razılığı kateqoriyasının arxasına alınıbmı, skript qəbul edilməzdən əvvəl işləyə bilmirmi?
4. LIA-nın aktuallığı
Qanuni maraq qiymətləndirmələri son 12 ay ərzindəmi tarixlənib, köhnə təsvirlər əvəzinə faktiki cari emal əhatəsini əks etdirirlərmi?
5. Opt-out icrasının həyata keçirilməsi
İstifadəçi Maddə 21-i həyata keçirdikdə, sistem faktiki olaraq qanuni maraq barmaq izini dayandırır, yoxsa yalnız etirazı qeydə alır?
6. Çox satıcılı təmizlik
Barmaq izi üçüncü tərəflə (reklam şəbəkəsi, atribusiya provayderi, identifikasiya satıcısı) paylaşılırsa, bu paylaşma ayrı razılıqla əhatə olunub və məxfilik bildirişində açıqlanıbmı?
Barmaq İzinin İzləmənin Gələcəyindəki Yeri
Brauzer satıcıları barmaq izi kitabxanalarına mövcud entropiyanı azaltmaq üçün fəal şəkildə işləyir. Apple ITP, Firefox-un daxili mühafizəsi və Google Privacy Sandbox təklifləri əsas səthi azaldır. Lakin bu müdaxilələrin heç biri tənzimləyici problemi aradan qaldırmır — hətta azaldılmış entropiyalı barmaq izi də bir istifadəçini müəyyən etməyi bacardıqda şəxsi məlumat olaraq qalır və uğur nisbətini azaltmaq işə yaradığında hüquqi təhlili dəyişdirmir. Nəşrçilər üçün daha təhlükəsiz fərziyyə budur ki, barmaq izi növbəti 24 ay ərzində real, audit üçün əhəmiyyətli texnika olmağa davam edəcək, tənzimləyicilər onu razılıq məqsədləri üçün cookie-lərlə bərabər tutmağa davam edəcək, düzgün əməliyyat cavabı isə barmaq izini hər hansı digər izləmə səthi kimi idarə etməkdir: inventarlaşdırılmış, məqsədə görə kateqoriyalaşdırılmış, tələb olunduqda razılıqla gating edilmiş və başqa əsasda davam etdiyi hallarda ətraflı sənədləşdirilmiş.